dnes je 29.3.2024

Input:

493/2022 Z.z., Vyhláška Národného bezpečnostného úradu o audite kybernetickej bezpečnosti

493/2022 Z. z.
VYHLÁŠKA
Národného bezpečnostného úradu
z 19. decembra 2022
o audite kybernetickej bezpečnosti
Národný bezpečnostný úrad (ďalej len „úrad“) podľa § 32 ods. 1 písm. f) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. 287/2021 Z. z. (ďalej len „zákon“) ustanovuje:
§ 1
(1) Auditom kybernetickej bezpečnosti (ďalej len „audit“) sa overuje plnenie povinností podľa zákona a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov1) prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom. Auditom sa identifikujú nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby s cieľom prijať opatrenia na ich odstránenie a nápravu a na predchádzanie kybernetickým bezpečnostným incidentom.
(2) Audit vykonáva certifikovaný audítor kybernetickej bezpečnosti podľa § 29 ods. 3 zákona (ďalej len „audítor“).
(3) Na vykonanie auditu audítor spĺňa podmienky znalostného štandardu overené skúškou doloženou podľa odporúčaní medzinárodne akceptovaných technických noriem2) alebo iných, týmto štandardom vecne obdobných a všeobecne uznávaných postupov.
(4) Audítor zodpovedá za správnosť, rozsah a odbornosť pri výkone auditu a spracovaní záverečnej správy o výsledkoch auditu.
(5) Audítor vykonáva audit odborne, objektívne, nestranne, na základe dôkazov podľa odporúčaní technických noriem2) alebo iných vecne obdobných a všeobecne uznávaných postupov.
(6) Časový rozsah trvania auditu sa určuje tak, že je dostatočný na posúdenie plnenia povinností podľa zákona a účinnosti prijatých bezpečnostných opatrení. Ak nie je možné v rámci rozsahu trvania auditu hodnotiť každé jednotlivé opatrenie na veľkej populácii prvkov, hodnotí sa ich stav formou vzorkovania, pričom rozsah vzoriek sa určuje s ohľadom na vykonanú klasifikáciu informácií, kategorizáciu sietí a informačných systémov, vykonanú analýzu rizík kybernetickej bezpečnosti a na vypovedaciu schopnosť auditu podľa odseku 1.
(7) Pri výkone auditu sa
a) prijíma žiadosť o vykonanie auditu v rozsahu minimálnych náležitostí uvedených v prílohe č. 1 a posudzuje kompletnosť údajov v žiadosti; môžu vyžadovať ďalšie informácie potrebné na prípravu a výkon auditu,
b) pripravuje harmonogram výkonu auditu, ktorý obsahuje najmä
1. identifikáciu organizačných útvarov, procesov, auditovaných sietí a informačných systémov a fyzických lokalít prevádzkovateľa základnej služby s uvedením času a
2. meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytuje audítorovi počas auditu požadovanú súčinnosť,
c) určuje rozsah auditu spôsobom podľa prílohy č. 2,
d) určujú metódy auditu,
e) pripravujú podklady a pracovné dokumenty potrebné na zaznamenávanie výkonu auditu, ktoré sú prílohou záverečnej správy o